Shorewall tűzfal építés - első lépések

Debian GNU/Linux

Sziasztok,

szeretnék egy kis információt kapni arról, hogy egy olyan hálózatban, amiben különböző szolgáltatásokat helyeztem el, milyen elvek és lépések szerint állnátok neki a tűzfalszabályokat meghatározni. Az egészet képzeljétek el úgy, hogy adott egy linux tűzfal (Shorewall személyében gondoltam) és ez csatlakozik 3 switch -re. Minden switch egy-egy zónát testesít meg, az egyikben egy Samba, a másikon egy Mail és egy Webszerver, a harmadikon pedig egy Dns/Dhcp, egy központi MySQL és egy központi logszerver ül. Nem pazarlom az eszközöket, ez egy virtuális hálózat, virtuális gépekkel. Van a gépben egy ethernet interfész is, ami a belső LAN felé néz. Befejezésképpen pedig egy Nagios -al monitorozom a gépeimet és az azokon futó szolgáltatásokat.

Arra gondoltam, miután minden szolgáltatást feltelepítettem, minden gépen nyomok egy netstat -tap -ot a használt portok feltérképezéséhez. Ez az első ötletem, ebben a témában várnék néhány tapasztalati dolgot, ki hogyan állna neki. Esetleg létezik valami hasonló doksi, ami ilyen témában elmélkedik? Nem iptables howto -ra gondoltam.

Köszi

  • 1867 megtekintés

( Z0l v | 2009. 03. 03., k – 14:20 )

Tuzfalaknal celszeru azt a logikat kovetni, hogy minden tiltott, ami nem engedelyezett. Ebbol adodoan fel kell merni, hogy mik azok a szolgaltatasok, amiket biztositani akarsz, ezutan hogy mik azok, amik szuksegesek az egyeb dolgokhoz (pl snmp a nagioshoz), minden mast pedig eldobni. Jelenlegi helyzetedben en rogzitenek valamennyi forgalmat (pl 1-2 orat, nemtom mennyire terhelt halozat, de eleg a forras/cel ip/port) es megprobalnam kiszurni, hogy mik azok a kapcsolatok, amik nemstandard portokon tortennek (pl mysql-nel elvileg a 3306-on kivul mas nem kell, max egy tcp/22 az adminnak).
Az igy kapott eredmenyt ossze kellene hasonlitani azzal a tablazattal, amiken a standard eleresi portok szerepelnek, es a kulonbsegre rafekudni (pl mit csinal xy a mailszerver 31337-es portjan), es ha mindegyik kivetelt ellenorizted, felallitani a szabalyokat, tesztuzem, aztan mehet elesbe. Remelem segitettem :)